Portal bezpiecznego e-biznesu

Bezpieczny hosting dla sklepu internetowego: jak wybrać?

 Bezpieczny hosting dla sklepu internetowego: jak wybrać?

Lexlab Bezpieczne regulaminy sklepów i serwisów internetowych Wycena usługi
Uruchomienie sklepu internetowego jest pozornie proste. Wystarczy wybrać silnik, dokonać wstępnej konfiguracji i w zasadzie można rozpoczynać pierwszą sprzedaż. Jeżeli jednak nie zadbasz o bezpieczeństwo e-sklepu - możesz mieć problemy. A jak na bezpieczeństwo wpływa hosting?
Bezpieczny hosting dla sklepu internetowego: jak wybrać?

Najpopularniejsze silniki sklepów internetowych mogą działać na dwa sposoby. Może to być usługa w modelu SaaS, w której płacisz abonament i w zamian za to otrzymujesz dostęp do sklepu utrzymywanego na serwerach usługodawcy. W takim wypadku nie musisz przejmować się kwestią konfiguracji hostingu oraz jego zabezpieczeniem - za to odpowiada dostawca usługi. Takie silniki to m.in.: Shoper, IdoSell czy Shoplo.

Jednak wiele osób decyduje się na utrzymywanie e-sklepów na własnych serwerach. Przemawia za tym wiele atutów - większe możliwości personalizacji, niezależność oraz znacznie niższe koszty. W takim modelu udostępniane są silniki takie jak np. WooCommerce, PrestaShop czy Magento.

Jeżeli decydujesz się na samodzielne utrzymywanie sklepu na serwerze - musisz w szczególności zadbać o jego bezpieczeństwo. Cyberataki to nie historia do straszenia wymyślona przez firmy hostingowe i producentów oprogramowania antywirusowego. Mają one miejsce średnio co… 39 sekund. Jeżeli to właśnie Twój e-sklep padnie ofiarą takiego ataku, to możesz:

  • stracić nad nim kontrolę;
  • stracić pieniądze przez brak możliwości sprzedaży;
  • zdobyć dziesiątki, jak nie setki negatywnych komentarzy.

Zobacz, jak się przed tym uchronić - decydując się na bezpieczny hosting.

SSL przede wszystkim

Kwestie bezpieczeństwa są bardzo ważne podczas procesu zakupowego. Konsumenci mają coraz większą świadomość w tym zakresie. W związku z tym podczas zakupów wypatrują ikony kłódki i przedrostka HTTPS przed adresem sklepu internetowego.

Te znaki świadczą o zainstalowanym certyfikacie SSL. Służy on do weryfikowania domeny w przeglądarce użytkownika. Jeżeli weryfikacja przebiegnie poprawnie, to odwiedzający ma świadomość, że jest to autentyczna strona - a nie fałszywa strona, próbująca podszyć się pod Twój sklep.

Po walidacji nawiązywane jest bezpieczne połączenie internetowe - dane przesyłane pomiędzy przeglądarką a serwerem są szyfrowane, w związku z tym nikt nie ma do nich dostępu i nie może ich zmienić.

W kontekście ochrony danych osobowych oraz dokonywania płatności nikogo nie powinno dziwić, że odwiedzający chce korzystać z zabezpieczonego połączenia. W związku z tym brak certyfikatu SSL na stronie może sprawić, że stracisz potencjalnego klienta.

A przecież nie musi tak być - bo certyfikat SSL możesz mieć zupełnie za darmo. O ile oczywiście hosting udostępnia taką możliwość. W związku z tym wybierając serwer sprawdź, czy istnieje możliwość włączenia bezpłatnego SSL.

Aktualne technologie

Co jeszcze zapewnia bezpieczeństwo sklepu internetowego? Na pewno jest to korzystanie z aktualnych technologii. Aktualizacje szablonów, pluginów, widgetów czy innych aplikacji są publikowane po to, żeby zwiększyć ich wydajność, ale także po to, żeby pozbyć się wszelkiego rodzaju luk bezpieczeństwa.

Podobnie jest w przypadku serwerów. Jeżeli korzysta on z aktualnych technologii - to możesz liczyć na to, że przestarzałe technologie nie okażą się “otwartymi wrotami” podczas cyberataku.

W szczególności warto przyjrzeć się wersji:

  • PHP - ten język jest wykorzystywany przez zdecydowaną większość sklepów internetowych. Odpowiada on za komunikację z bazą danych - pobierając z niej dane potrzebne do wyświetlenia strony internetowej. PHP ma swoje generacje - po wypuszczeniu nowej, jest ona aktywnie wspierana przez 2 lata, a potem przez 1 rok otrzymuje wyłącznie podstawowe łatki bezpieczeństwa. Po tym czasie jest nieaktualna - a więc także bardziej narażona na różnego rodzaju cyberataki;
  • HTTP - protokół HTTP jest wykorzystywany do przesyłania danych pomiędzy serwerem a przeglądarką użytkownika. Bez niego nie byłoby możliwości wyświetlenia strony internetowej. W najnowszej wersji HTTP/3 wprowadzono liczne zabezpieczenia przed zrywaniem się połączenia, jednak dla bezpieczeństwa e-sklepu najważniejsze jest to, że korzysta on z protokołu TLS zapewniając szyfrowane połączenie.

Wniosek? Wybierz taki serwer, który jest na bieżąco i dba o dostosowywanie się do nowych technologii. Na pewno takie podejście sprawdzi się w długiej perspektywie.


Ochrona przed cyberatakami i złośliwym oprogramowaniem

Sklep internetowy może być “łakomym kąskiem” dla cyberprzestępców, szczególnie jeżeli brak dbałości o sprawy bezpieczeństwa jest widoczny gołym okiem. Dlatego też podczas wyboru hostingu, dobrze jest zdecydować się na usługodawcę, który szczyci się rozbudowanymi pakietami bezpieczeństwa.

Jednak - samo określenie “pakiet bezpieczeństwa” to trochę za mało, żeby w pełni zaufać dostawcy usług hostingowych. Znacznie lepiej jest dokładnie sprawdzić, co wchodzi w skład takiego pakietu. Dobrze aby wśród obsługiwanych technologii znalazły się:

  • WAF- czyli Web Application Firewall. To działająca w tle zapora aplikacji internetowych, która wyłapuje jakiekolwiek podejrzane działania związane z Twoją stroną (mogące skutkować np. zainfekowaniem baz danych) i blokuje je;
  • separacja stron internetowych - to rozwiązanie chroni przed rozprzestrzenianiem się wirusa po serwerze. Jeżeli zainfekowana zostanie jedna strona, to złośliwe oprogramowanie nie zainfekuje innych, bo będzie mieć utrudniony dostęp do innych katalogów;
  • DNSSEC- to forma uwierzytelniania adresu IP. Chroni przed niezgodnością pomiędzy domeną (wyrażoną słownie), a adresem IP. A w prostych słowach - chroni przed próbą przekierowania Twojej strony na inną;
  • DNS Anycast - to rozwiązanie opiera się na korzystaniu z sieci serwerów DNS rozproszonych po całym świecie. W takim wypadku awaria jednego z serwerów nie musi oznaczać niedostępności Twojego e-sklepu. Zapytania będą obsługiwane przez inny serwer z sieci;
  • LiteSpeed - o tym oprogramowaniu mówi się przede wszystkim w kontekście szybkości działania strony. Warto jednak mieć na uwadze, że program ten zwiększa wydajność interpretera PHP - czyniąc go zdecydowanie bardziej odpornym na ataki typu DDoS. W związku z tym znacznie trudniej będzie doprowadzić do “niewydolności” Twojej strony - niezależnie czy będzie ona wynikiem cyberataku, czy też wzmożonego zainteresowania e-sklepem.

Zabezpieczenie poczty e-mail

Prowadzenie sklepu internetowego wiąże się z koniecznością wysyłania setek maili do klientów. Potwierdzenia zamówienia, zapytania dotyczące oferty, dokumenty sprzedażowe, reklamacje - to wszystko odbywa się poprzez pocztę e-mail. Bardzo często utrzymywana jest ona na wybranym przez Ciebie hostingu, dzięki czemu możesz mieć kilka adresów podpiętych pod domenę.

Jednak utrzymywanie poczty elektronicznej na swoim serwerze wymaga podjęcia szczególnych kroków w zakresie bezpieczeństwa. Chyba nie chcesz, żeby niezabezpieczona skrzynka służyła do wysyłania nieautoryzowanych wiadomości? Tego typu maile mogą być uciążliwym spamem, ale także służyć do wyłudzania danych czy pieniędzy od niczego niespodziewających się klientów. A wszystko legitymowane przez Twoją domenę…

Tak naprawdę możesz się przed tym zabezpieczyć, jeżeli zdecydujesz się na hosting, który obsługuje poniższe protokoły bezpieczeństwa:

  • SPF- Sender Policy Framework - weryfikuje, czy dla danej domeny mogą być wysyłane wiadomości z danego adresu IP;
  • DKIM- DomainKeys Identified Mails - wykorzystuje elementy kryptograficzne, a dokładniej sprawdza podpis cyfrowy (umieszczony w wiadomości) z kluczem publicznym umieszczonym na serwerze DNS;
  • DMARC- Domain-based Message Authentication, Reporting and Conformance - ten protokół odpowiada za ustalenie polityki dotyczącej tego, co należy zrobić w przypadku pojawienia się próby wysyłania nieautoryzowanych wiadomości. Decyduje, czy wiadomość ma być usunięta, czy skierowana na kwarantannę - ale także generuje raport, który informuje Cię o takim zdarzeniu.

Jeżeli zależy Ci na bezpiecznej poczcie e-mail, zadbaj o to, aby serwer obsługiwał wszystkie 3 protokoły.

Kopie bezpieczeństwa

O kopiach bezpieczeństwa przeważnie nie myśli się do momentu, w którym jest już za późno. A przecież backup to idealne zabezpieczenie, które sprawdza się w wielu sytuacjach. Czy będzie to drobna awaria, pomyłka pracownika czy cyberatak - wystarczy przywrócić wcześniej zrobioną kopię zapasową, aby e-sklep zaczął z powrotem działać prawidłowo.

Jednak - najpierw trzeba ją mieć. Na szczęście wiele hostingów wykonuje takie kopie automatycznie. Sedno jednak tkwi w szczegółach - trzeba przyjrzeć się temu, jak często i jak długo przechowywane są kopie zapasowe.

Backup powinien być wykonywany przynajmniej raz dziennie. Dobrze, aby był przechowywany przynajmniej przez tydzień. Jeżeli czas ten byłby krótszy - mogłoby to skutkować usunięciem ostatniej dobrej kopii zapasowej zanim zorientujesz się, że na jednej z podstron pojawiła się awaria.

Wybierając hosting koniecznie sprawdź także, w jaki sposób przywracana jest taka kopia zapasowa. Czy możesz zrobić to samodzielnie? A może musisz kontaktować się z obsługą klienta? Dobrze jest zawczasu dowiedzieć się, jak to zrobić. W niektórych sytuacjach może się okazać, że każda minuta zwłoki ma znaczenie.

Pamiętaj także o tym, że aby jak najlepiej zabezpieczyć się na wypadek różnego rodzaju sytuacji awaryjnych, dobrze jest zgrać kopię zapasową i przechowywać ją np. na swoim dysku, na nośniku zewnętrznym lub na innym serwerze. Przezorny - zawsze ubezpieczony. :)

Logowanie dwuskładnikowe

Jako właściciel e-sklepu pewnie masz świadomość, że trzeba zachować szczególną ostrożność w zakresie wszelkiego rodzaju danych dostępowych - do serwera, CMS’a, poczty e-mail itd. W ten sposób minimalizujesz ryzyko nieautoryzowanego dostępu do tego typu miejsc. To jednak może nie wystarczyć.

Dlatego też dobrze jest korzystać z logowania dwuskładnikowego. Polega ono na tym, że aby dostać się do panelu hostingowego (czyli centrum dowodzenia całym serwerem) nie wystarczy podać nazwy użytkownika i hasła. Konieczne jest jeszcze wpisanie kodu autoryzacyjnego - wysyłanego np. na adres e-mail czy SMS’em na Twój numer telefonu.

Dobrze jest wybrać hosting, który umożliwia takie logowanie - dzięki temu złamanie Twojego hasła nie wystarczy do uzyskania dostępu do ustawień serwera.


Kwestie zgodności z RODO

Prowadząc sklep internetowy przetwarzasz dane osobowe swoich klientów. W końcu dokonują oni płatności w e-sklepie oraz pozostawiają Ci dane do wysyłki. Takie dane przechowujesz na serwerze, na którym umieszczony jest e-sklep.

W związku z tym - pojawia się konieczność uregulowania tego, kim jest dostawca usług hostingowych w procesie przetwarzania danych osobowych. Nie możesz pozostawić tej sprawy “samej sobie”.

Konieczne jest podpisanie umowy o przekazaniu przetwarzania danych osobowych. Na szczęście wiele firm hostingowych zamieszcza odpowiednie zapisy w standardowej umowie sprzedaży, dzięki czemu bardzo często kwestia ta jest uregulowana “z automatu”. Pamiętaj jednak, że to Ty odpowiadasz za bezpieczeństwo danych swoich klientów, w związku z tym nie możesz zlekceważyć tego obowiązku.

Mam nadzieję, że rozumiesz, dlaczego bezpieczeństwo e-sklepu jest tak istotne. Liczę też na to, że tych kilka informacji pozwoli Ci w wyborze bezpiecznego hostingu. Dobrze jest zadbać o to, aby to właśnie serwer nie okazał się najsłabszym ogniwem w Twoim systemie e-commerce.

Autor: Mateusz z KwestiaBezpieczeństwa.pl - pisanego prostymi słowami bloga o bezpieczeństwie internetowym oraz serwisu JakWybraćHosting.pl w ramach którego testuje, sprawdza i recenzuje usługi hostingu stron WWW.

Komentarze

‹ Poprzedni artykułNowy wariant oszustwa na “pocztę głosową” Następny artykuł ›Cyberprzestępcy również czekają na Black Friday oraz Cyber Monday

Newsletter

Polecamy Adwokat Art. 178A KK

Legalniewsieci.pl © 2021. Realizacja: Bling SH. Kodowanie: weboski.

Legalman

Logowanie


Nie masz jeszcze konta?

Zachęcamy do założenia konta.
Rejestracja zajmie Ci tylko chwilę.
Zarejestruj się